Grupurile BUILTIN sunt grupurile locale originale ale primului controler de domeniu din pădure (de aceea „32” este în SID). În timp ce toate grupurile sunt într-un fel locale pentru controlerele de domeniu, veți descoperi că aceste grupuri sunt în esență grupurile locale „partajate” ale controlorilor de domeniu. De-a lungul anilor, au fost adăugate mai multe dintre aceste grupuri specifice controlerului de domeniu (cum ar fi „Grupul de replicare a parolelor RODC permis”)
Exemple:
- adăugarea unui utilizator la grupul BUILTIN\Remote Desktop Users acordă acces RDP la controlerele de domeniu
- adăugarea unui utilizator la grupul de utilizatori Remote management conferă WinRM
acces la controlere de domeniu
- Operatori de imprimare? Asta înseamnă gestionarea imprimantelor pe controlere de domeniu (ceea ce nu ar trebui să faci niciodată).
Acesta este cel mai ușor mod de a înțelege. Cel mai bun mod de a le gândi - în general, nu ar trebui să folosiți aceste grupuri pentru nimic altceva.
În ceea ce privește dacă pot fi mutate sau nu? În general, las grupurile BUILTIN în pace, dar dacă sunteți cu adevărat dornici să curățați, consultați acest document care detalii pentru dvs. care pot, nu pot fi mutate. Țineți cont de această referință:
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...